# iptables yksinkertaiselle www-palvelimelle
# kaytto: iptables-restore < iptables.simple
# vain filter-taulu

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP

# Sallitaan kaikki yhteydet localhostiin
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# paluuliikenne molempiin suuntiin
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED -j ACCEPT

# DNS ulos
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT

# Kerberos ulos
-A OUTPUT -d 130.234.0.0/16 -p tcp -m tcp --dport 88 -j ACCEPT

# ssh sisaan JY:n alueelta ja sisaverkosta
-A INPUT -s 130.234.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT

# ssh ulos vain sisaverkkoon
-A OUTPUT -d 172.21.0.0/16 -p tcp -m tcp --dport 22 -j ACCEPT

# http(s) sisaan kaikkialta
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

# apt proxy ulos sisaverkon palvelinalueelle
-A OUTPUT -d 172.21.208.0/27 -p tcp -m tcp --dport 3142 -j ACCEPT

# icmp ulos kaikkialle
-A OUTPUT -p icmp -j ACCEPT
# ping sisaan JY:n alueelta ja sisaverkosta
-A INPUT -s 130.234.0.0/16 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 8 -j ACCEPT
# icmp 3, 11 ja 12 sisaan kaikkialta
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT

# muut lokitetaan ja torjutaan
-A INPUT -j LOG --log-prefix "unknown-input " --log-tcp-options --log-ip-options
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j LOG --log-prefix "unknown-forward " --log-tcp-options --log-ip-options
-A OUTPUT -j LOG --log-prefix "unknown-output " --log-tcp-options --log-ip-options
# -A OUTPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT